Cyber-Monday und Black-Friday gelten als traditioneller Startschuss für die Weihnachtseinkäufe und bedeuten auch für Cyberkriminelle Hochkonjunktur. In einem Jahr, in dem Pandemie-bedingt die Einkäufe noch mehr vom heimischen PC aus erfolgen als jemals zuvor, müssen Schnäppchenjäger Vorsicht walten lassen, um Phishing, Online-Betrug und Card-Skimming aus dem Weg zu gehen. Die ThreatLabZ-Researcher zeigen in ihrer jährlichen Untersuchung Betrugsmaschen, auf die es beim Online-Shopping besonders zu achten gilt.
Die Zscaler-Cloud verarbeitet im Durchschnitt täglich etwa 130 Milliarden Webanfragen und erhält dadurch Einblick in die Aktivitätstrends im Internet. Seit Anfang November wurde ein Anstieg des Online-Shopping-Verhaltens festgestellt, das seinen Höhepunkt am Cyber-Montag mit einem deutlichen Anstieg dieser Aktivitäten zeigte. Die Einkaufstransaktionen stiegen von 750 Millionen Anfang November auf 1,13 Milliarden am 30. November an.
Kreditkarten-Skimming
Auch wenn Cyberkriminelle das ganze Jahr über aktiv sind und es über Card-Skimming auf Kreditkarteninformationen abgesehen haben, so wollen sie insbesondere von der Shopping-Saison profitieren. Dementsprechend ist es nicht verwunderlich, dass auch in der Woche vor Cyber-Monday ein Anstieg von Cyberangriffen zu beobachten war. Einige der verwendeten Techniken werden im Folgenden vorgestellt. Die Angreifer injizieren ihren Schadcode bevorzugt in Webseiten, die Schnäppchenjäger mit Rabatten auf ihr Angebot aufmerksam machen, wie das Beispiel eines Online-Schuhhändlers zeigt. Die Domain jblackfriday2017[.]com wurde bereits 2017 registriert und ist seitdem aktiv und bietet Rabatte für Cyber-Monday. Über die IP-Adresse dieser E-Commerce-Website werden verschiedene Online-Shops für Schuhe gehostet, die alle mit demselben Skimming-Skript infiziert sind. Dieses Skript zum Auslesen von Bankinformationen wurde vor einigen Monaten über eine veraltete Magento-Software platziert und greift seitdem Daten ab, die an eine vom Angreifer kontrollierte IP-Adresse geschickt werden.
Dieses Beispiel ist kein Einzelfall. Nachfolgend sind weitere ähnliche E-Commerce-Webseiten aufgeführt, die dasselbe Thema verwenden und mit dem oben erwähnten Skimming-Skript infiziert sind:
Neu-registriere Domains
Skimming-Gruppen verwenden in vielen Fällen neu registrierte Domains, die lexikalisch nahe am Namen von Webdiensten oder Webanalysediensten liegen, um lange unentdeckt zu bleiben und unterschiedliche E-Commerce-Websites mit bösartigen Skripts zu infizieren. Diese Domains werden von Skimming-Gruppen verwendet, um die Webpräsenz von Online-Händlern zu missbrauchen, die mit besonderen Schnäppchen für Cyber-Monday und Black-Friday werben. Die Skripts beinhalten gefälschte Formulare zur Eingabe von Zahlungsinformationen, über die die Cyberkriminellen an Kontodaten gelangen.
Darüber hinaus hat es die Magecart-Gruppe auf bestimmte E-Commerce Webseiten abgesehen und registriert auch hier Domains, die ihrem Ziel ähneln, wie zum Beispiel der Spielwarenanbieter “Giantmicrobes”, der unlängst Opfer einer solchen Angriffsmasche wurde. In der Ende Oktober von den Cyberkriminellen registrierten Domäne wurde nur ein Buchstabe ausgetauscht – so dass der Anwender durch einen Tippfehler leicht bei giantnicrobes[.]com landen konnte.
Auch für das Abgreifen von Anmeldeinformationen von Anwendern durch Phishing kommen Domains mit Black-Friday-Bezug zum Einsatz. Eine solche Domain ist „blackfriday2020[.]pro“, auf der eine Login-Seite gehostet wird, die für verschiedenste Webseiten verwendet wird.
Vorsichtsmaßnahmen für das Online-Shopping
Endkunden, die ihre Weihnachtseinkäufe im Internet tätigen, sollten einige grundlegende Sicherheitsrichtlinien befolgen, um dergleichen Betrugsaktivitäten nicht auf den Leim zu gehen:
- Vor dem Öffnen einer Webseite lohnt der genaue Blick auf den Domaine-Namen, um die Authentizität der URL oder Website zu prüfen. Vorsicht ist bei Links mit Tippfehlern im Namen geboten.
- Sicherstellen, dass die Online-Einzelhändler und Banking-Websites, bei denen Einkäufe getätigt werden, HTTPS/sichere Verbindungen verwenden.
- Aktivieren von Zwei-Faktor-Authentifizierung, um eine zusätzliche Sicherheitsebene zu schaffen im Zusammenhang mit Zahlungstransaktionen.
- Als Faustregel gilt: Vorsicht bei Angeboten von unbekannten Absendern, insbesondere wenn diese allzu vielversprechende Schnäppchen anpreisen.
- Links oder Dokumente von unbekannten Parteien, die spannende Angebote und Möglichkeiten versprechen, sollten nicht angeklickt oder geöffnet werden.
- Links, die URL-Kürzel einsetzen, vermeiden, da der vollständige Domain-Name verborgen wird.
- Sicherstellen, dass das Betriebssystem und der Webbrowser auf dem neuesten Stand sind und die neuesten Sicherheits-Patches installiert sind.
- Verwenden von Browser-Add-ons, wie Adblock Plus, um böswillige Werbung zu blockieren (kompromittierte/böswillige Websites bombardieren Besucher mit Pop-up-Werbung).
- Apps grundsätzlich nur von offiziellen App-Stores, wie Google oder Apple beziehen.
- Vorsicht walten lassen, wenn öffentliche oder ungesicherte Wi-Fi-Verbindungen zum Online-Shopping verwendet werden.
- Regelmäßiges Backup aller Dokumente und Dateien, bzw. Einsatz von Verschlüsselung für noch mehr Sicherheit.
#Zscaler
